Até o James Webb: hackers usam imagem do telescópio para espalhar malware
Pesquisadores descobriram que hackers estão usando uma imagem registrada pelo telescópio James Webb, mais novo observatório espacial, para espalhar malware (tipo de programa criado para causar danos a um computador ou rede). A informação foi divulgada esta semana em um comunicado de segurança emitido pela empresa de tecnologia Securonix Threat.
A imagem usada para ocultar o sistema malicioso foi divulgada em julho deste ano e refere-se ao aglomerado de galáxias conhecido como SMACS 0723. Segundo a companhia, a ameaça virtual é baseada em Golang, linguagem de programação que está ganhando popularidade entre hackers porque é multiplataforma (ou seja, é compatível com Windows, Linux, Mac).
Golang oferece ainda maior resistência à engenharia reversa e à análise — estratégias que poderiam ser usadas para identificar como o ataque acontece e aumentar a proteção dos equipamentos. Em seu relatório, a Securonix disse que já está rastreando os ataques e que eles foram identificados como GO#WEBBFUSCATOR.
Como o malware age
O ataque começa com um email de phishing (isca virtual) com um documento malicioso anexado compatível com o Microsoft Office. No caso descoberto, ele se chamava "Geos-Rates.docx".
Esse arquivo contém uma macro — basicamente, sequência de comandos — do sistema VBS (Visual Basic Application) ocultada. Porém, ela passa a ser executada automaticamente se as macros estiverem habilitadas no pacote do Office.
O código então baixa uma imagem em JPG (com o nome de "OxB36F8GEEC634.jpg"), decodifica-a em um sistema executável e o inicia — sem que a vítima saiba o que está ocorrendo.
Em um programa visualizador de imagens, o arquivo em JPG mostra o aglomerado de galáxias SMACS 0723. Agora, se esse arquivo for aberto em um editor de texto, a imagem revela conteúdo adicional disfarçado, que se transforma em um vírus.
Segundo a análise do malware, após a execução, o malware estabelece uma conexão DNS (protocolo que relaciona o endereço "nominal" de um site ou aplicativo com o seu endereço real — número de IP — nos bancos de dados da internet). Nesse processo, são feitas conexões de comando e controle.
"As mensagens [do sistema afetado] criptografadas são lidas e descriptografadas no servidor, revelando assim seu conteúdo original", explica a Securonix no relatório. "Essa prática pode ser usada para estabelecer um canal criptografado para comando e controle ou para extrair dados confidenciais."
O levantamento mostra que a ameaça atualmente não é identificada como conteúdo de risco pelos mecanismos antivírus.
*Com informações dos sites Bleeping Computer e Forbes
